二维码背后的玄机

按上一篇博文中提到的计划，我应该在这篇博文中叙述电信手机号卡带给我的恶劣体验。但是，最近遇到了一件事，涉及到二维码“钓鱼”，我决定先把这件事情写出来，以警示大家，二维码不一定安全，请不要轻信。如何进行断定？请看下文。

首先，我讲述一下这起二维码“钓鱼”事件的经过。

在一个QQ群中，有人发了一张所谓“联通青春卡”的广告，酷似以往联通宣传的风格，下方有一个二维码。扫码进去之后，会弹出所谓的套餐介绍页面，点击“立即申请并邮寄到家”会进入个人信息填写页面，下方有要求上传身份证正反面照片的选项。网页外观与联通官方申请新号码的页面极其相似。

一开始引起我警觉的有两点：第一，联通官方申请新号码，是可以选择号码归属地及号码的，从未有过号码与归属地随机发放的情况；第二，联通官方申请新号码时，在手机网页端不需要上传身份证正反面，而是收到卡以后按程序激活时才会上传身份证正反面，外加手持身份证照片。后来又改成了持卡人亲自前往营业厅或代理点激活。

几个小时后，我又研究了一下这个所谓的“青春卡”。我用Firefox手机浏览器扫码，发现打开的网址并不是联通的官方域名，其域名也与联通不相吻合。而是一个叫“快付”的名字。我直接进入这个二级域名，或进入根域名，发现打开的页面都是“快付”的登录页面，且没有注册功能。这说明它与联通没有任何关系。

图1：广告页面（1）

图2：模仿联通的页面

类似的，在这个QQ群中，还有人发布多个类似的广告。我再找出其中的一个典型进行分析。

图3：广告页面（2）

打开之后的页面，与“青春卡”的申请页面完全一致（见图2）。其域名，与上面那个域名不一样，但是，它与联通同样没有任何关系。

甚至，还有一个更神奇的网站。它会让你先选号，而且号码看起来都不错，选中号码以后，再进入填写信息页面。该页面与上述页面对比，除了归属地和号码显示的为事先选择的号码，其他页面元素均完全一致。

再看它们的“入网协议”，文字叙述笼统，甚至还有错别字。图4中可以看到明显的问题，截图范围外的区域也有问题。

图4：所谓的“入网协议”

至此可断定，这些页面均为假冒的，很有可能是用来收集真实身份证正反面的钓鱼网站，甚至还收集真实的收件地址及电话号码。这些信息如果拿到黑市去卖，如果收集的信息足够多，是可以卖到好价钱的。曾经与某些人讨论信息被卖的事情时，有些人不屑一顾的说：“你的信息能值多少钱？谁能卖你的信息？”如果按价格算，平均每个信息的价格可能不高。但是，它的拷贝成本很低，可以重复被卖；而且，买信息的人，如果将其用作不当途径，给你带来的损失可不是用金钱能够衡量的。

为何很多人不容易鉴别它是个虚假网站呢？

二维码不是人发明的，但在特殊的网络（隔开）管（隔开）制之下，在把二维码推广开来的，却是的威信。一开始威信有了扫码功能，很多人便用威信扫码。这些人将此写入潜意识，并执着的认为，只有它才能扫二维码。后来，和它有同一个爹的软件也有了扫码功能，某宝也有扫码功能。其他软件，如部分浏览器，也有扫码功能。但是，在这些人的世界里，只有威信和它的亲兄弟才能扫码。

这便出现了一个严重的问题。威信及其兄弟，以及某宝，扫了二维码之后，会利用其内置的浏览器打开二维码中的网址，并且：无法看到这个网址的具体地址，只是显示了这个网页的标题。有独立博客建设经验的博主应该知道，这就是<title>和</title>之间那部分。因此，通过这种方式，无法根据具体的网址判断网页的真实性。

用浏览器扫码就不一样了，它可以看到真实的网址，可根据域名来判断网页是否真实。如果某些域名，无法直接看出是否是官方域名，也可以根据域名的拼写来判断。当然，有些钓鱼网站的作者会注册与官方域名拼写类似的域名，此时可根据域名的whois信息来判断。如果这些域名是在的注册商注册，由于的注册商几乎全部下线了隐私保护服务，因此可根据whois信息来判断该域名是否是官方域名。

举例说明一下。移动花卡宝藏版，在wx的官方号里，设置的申请地址的根域名是cmicrwx.cn。通过whois信息，该域名注册人是“中移互联网有限公司”，邮箱是“手机号@139.com”。于是可以判定，该域名是移动的官方域名。而那些所谓的联通号码申请页面对应的根域名均非联通的官方域名。

可是，说了这么多，还是无法改变很多人“只能用威信及其兄弟扫二维码”的潜意识。因此，注定还会有更多的人被骗。

除了这个因素，还有一个因素也是导致被骗的原因：贪图小便宜。这些所谓的联通互联网套餐，名字为“青春卡”、“冰神卡”、“疯牛卡”等，看起来月租低、流量多，确实吸引眼球。实际上都是被虚构出来的套餐。我是不是也可以虚构一个：联通大象卡，月租29.9元，流量29.99T/月。（斜眼笑）图小便宜吃大亏，这句话永远不要忘记。